無線操作デバイス「Flipper Zero」でテスラの電気自動車を盗み出す方法が考案される

2024/03/11 14 users テスラ Flipper Zero ＮＦＣ 無線操作デバイス

NFCやBluetooth、赤外線通信など、多種多様な無線通信技術に対応した無線コントロールデバイス「Flipper Zero」を用いて、偽のWi-Fiネットワークを構築することで電気自動車メーカー「テスラ」の自動車を盗み出すことができると、ソフトウェア企業のMyskのセキュリティ研究者が報告しています。 Can a Tesla Stop Phishi... 続きを読む

簡単にGPUメモリの内容を盗めてしまう「LeftoverLocals」脆弱性、セキュリティ研究者が警鐘／Apple、AMD、Qualcomm、Imaginationなどに影響、各社対策を表明

2024/01/17 13 users Imagination Qualcomm AMD 表明 脆弱性

続きを読む

Google、北朝鮮政府支援組織による研究者へのゼロデイ攻撃について警告

2023/09/10 7 users ゼロデイ攻撃 apt 警告 SIGNAL Google

Googleの脅威監視チームTAGは、北朝鮮政府支援の攻撃者がセキュリティ研究者を標的とするゼロデイ攻撃を行っていると報告した。X（旧Twitter）などで研究者に近づき、信頼関係を確立するとSignalなどのE2EEに移行してファイルを送りつけるという。 米GoogleでAdvanced Persistent Threat（APT）型攻撃などを監視するチー... 続きを読む

GmailやAmazonでは「HTMLにプレーンテキストでパスワードが保存されている」とセキュリティ研究者が警告

2023/09/07 35 users 官公庁 Chromeウェブストア プレーンテキスト 分析 平文

ブラウザのテキスト入力フィールドに関する脆弱(ぜいじゃく)性の分析により、大手企業や官公庁のサイトのHTMLソースコードに平文でパスワードが保存されていることが判明しました。問題を発見した専門家らは、試しに機密データを抜き取れるテスト用の拡張機能を作成したところ、いとも簡単にChromeウェブストアにアップ... 続きを読む

パスワードを盗む拡張機能が「Google Chrome」のストアに？ セキュリティ研究者が警鐘／最新の「Manifest V3」拡張機能でパスワード詐取を実証、ストア審査も通過

2023/09/06 26 users 実証 Manifest V 通過 ストア 拡張機能

続きを読む

生成AIに｢無限に抜け出せない催眠術｣をかけた結果...

2023/08/14 16 users 生成AI 催眠術 結果 Bard OpenAI

生成AIに｢無限に抜け出せない催眠術｣をかけた結果...2023.08.15 08:00 Mack DeGeurin -Gizmodo US- ［原文］ （ R.Mitsubori ） AIもダークサイドに落ちる。 IBMのセキュリティ研究者は、OpenAIのChatGPTやGoogleのBardといった有名な大規模言語モデルに対し｢催眠術をかける｣ことに成功したと発表しました。 催眠術にか... 続きを読む

Teamsにマルウェアを送り込む手法をJUMPSECが発見　Microsoftは未対処

2023/06/25 6 users teams セキュリ マルウェア 手法 クライアント側

Teamsには、外部テナントが組織内のスタッフにファイルを送信することを防ぐセキュリティ機能が実装されている。この機能は組織内にマルウェアを感染させる方法として悪用される可能性があることから、クライアント側で制御できるようになっている。 しかし今回、JUMPSECのセキュリティ研究者はクライアント側のセキュリ... 続きを読む

ハッカーがTwitterやGitHubでセキュリティ研究者になりすましてWindowsやLinuxにマルウェアを感染させる「偽の概念実証エクスプロイト」を公開している

2023/06/15 5 users Twitter GitHub blo ハッカー Linux

ハッカーがTwitterやGitHubでサイバーセキュリティ研究者になりすまし、WindowsやLinuxにマルウェアを感染させるため、偽の「ゼロデイ脆弱性の概念実証エクスプロイト」を公開していると、セキュリティ企業のVulnChackが報告しています。 Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blo... 続きを読む

悪意あるコードが仕込まれたChrome拡張機能が大量に発見される

2023/06/02 20 users Chrome拡張機能 コード Chromeウェブストア 多数

セキュリティ研究者で、有名な拡張機能「AdBlock Plus」の元開発者でもあるウラジミール・パラント氏が、Chromeウェブストアにある多数の拡張機能に難読化された悪意あるコードが含まれていたことを発表したと報告しました。 More malicious extensions in Chrome Web Store | Almost Secure https://palant.info/2023/0... 続きを読む

Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明

2023/04/27 16 users セキュリティリスク エンドツーエンド 懸念 判明 Google

ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Go... 続きを読む

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」

2023/04/18 5 users Winny 杉浦隆幸氏 セキュリティエンジニア 抑圧 映画

映画『Winny』公開記念　杉浦隆幸氏、高木浩光氏たちが振り返る「Winnyとは何だったのか」：むしろ「本質的に良くない部分」を問うことが必要（1/3 ページ） それは権力による創造の抑圧だったのか――元IPAセキュリティセンター長、セキュリティ研究者、ユーザー、セキュリティエンジニア、「One Point Wall」開発者たち... 続きを読む

OpenAIがChatGPTなどのAIシステムのバグ報奨金プログラムを開始、報奨金は最大270万円もモデルのコンテンツフィルター解除などは除外

2023/04/12 5 users OpenAI chatgpt 除外 個々 報奨金

対話型AIのChatGPTを開発したAI開発企業のOpenAIがバグ報奨金プラットフォームのBugcrowdと提携し、AIシステムの安全性を確保するために新たなバグ報奨金プログラムを立ち上げました。脆弱(ぜいじゃく)性を報告したセキュリティ研究者には、個々の脆弱性に対して200ドル～6500ドル(約2万7000円～約86万9000円)が与えられ... 続きを読む

大手通販アプリにユーザーを監視するマルウェアが仕込まれていた疑いでGoogleがアプリの配信を停止

2023/03/22 5 users マルウェア 停止 Google ユーザー アプリ

中国のセキュリティ研究者が、Android向け公式アプリにユーザーを監視する目的で設計されたマルウェアが含まれているとして、大手eコマースサービスの拼多多(Pinduoduo)を非難しました。これを受けて、Googleは拼多多の公式アプリをマルウェアとしてフラグ付けした上で配信を停止し、既にインストールしたユーザーに対し... 続きを読む

Windows 95のプロダクトキーは「111-1111111」や「000-0000000」でも突破できる超単純アルゴリズムで実装されていた

2023/03/04 215 users プロダクトキー 羅列 認証 Windows 95 数字

1995年に登場した「Windows 95」のインストール時にはプロダクトキーの入力を求めらるのですが、プロダクトキーは「111-1111111」や「000-0000000」といった単純な数字の羅列でも認証されてしまいます。このような単純なプロダクトキーでも認証可能な理由について、セキュリティ研究者のstacksmashing氏が解説しています... 続きを読む

Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増

2023/02/06 13 users マルバタイジング Obs 脅威 マルウェア ウェブサイト

通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれます。スパム活動やセキュリティ上の脅威を追跡する企業・Spamhaus Technologyのセキュリティ研究者が2023年2月3日のブログで、過去数日間にわたりGoogle広告全体でマルバタイジングが急増... 続きを読む

データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演

2022/12/26 10 users LastPass VAULT 実演 何者 保管庫

2022年8月にパスワード管理アプリ「LastPass」のソースコードの一部が何者かに盗み出されたことが報じられ、その後、2022年12月になってようやくLastPassはユーザーデータが不正アクセスされたことを認めました。この事件によりユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されて... 続きを読む

習近平はどのように中国のハッカーをレベルアップしたのか？

2022/12/18 12 users ハッカー 習近平 ハッキングチーム China 中国

近年は「中国のハッキングチームが外国企業や政府機関をサイバー攻撃した」といったニュースを頻繁に聞くようになりました。この裏には習近平国家主席により主導された国家的なハッカー育成計画があったとのことで、セキュリティ研究者のDakota Caryがその政策についてまとめています。 How Xi Jinping leveled-up China... 続きを読む

日産車やホンダ車をハッキングして個人情報を取得＆リモートでロックを解除したりクラクションを鳴らしたりする手法が見つかる

2022/12/05 9 users ハッキング 操縦 カーナビ コンピューター クラクション

現代の車はオーディオシステムやカーナビにとどまらず、ロックの解除や操縦までコンピューターで制御されているため、PCやスマートフォンのようにハッキングの影響を受けるデバイスとなっています。新たにセキュリティ研究者のSam Curry氏が、「さまざまな車をハッキングしてユーザーの個人情報を取得したり、ロックを解... 続きを読む

Amazonがプライム・ビデオの視聴習慣情報が詰まった内部サーバーを間違って公開してしまう

2022/10/28 16 users Amazon プライム・ビデオ 流出 テクノロジー関連 ケース

テクノロジー関連のスタートアップがセキュリティ不備が原因でインターネット上に存在する大量のデータを流出させてしまうというケースがままありますが、データの流出に陥るのはスタートアップだけでなく、Amazonのような大企業でさえ間違いを犯すことがあります。セキュリティ研究者のAnurag Sen氏が、インターネット... 続きを読む

多数のGitHubリポジトリでマルウェアを仕込んだ「セキュリティ検証用コード」が発見される、なんと10個に1個は悪意のあるリポジトリ

2022/10/25 11 users GitHubリポジトリ リポジトリ エクスプロイト PoC

世界最大級のコードホスティングプラットフォームであるGitHubでは、さまざまな脆弱(ぜいじゃく)性を検証するためのコードである「概念実証(PoC)エクスプロイト」が投稿され、セキュリティ研究者によって共有されています。しかし、このPoCエクスプロイトを精査したところ多数のコードにマルウェアが仕込まれており、セ... 続きを読む

GitHubでホストされていた「Windowsのロゴ画像」にマルウェアを隠して感染させるという恐るべき手口が発覚

2022/10/03 6 users iPhone GitHub 手口 ハッカー集団 マルウェア

by Isriya Paireepairit 以前から、AndroidやiPhoneでは画像にマルウェアを仕込むという手口が発見されていますが、新たにWindowsのおなじみのロゴマークにバックドアを紛れ込ませる恐るべき手法が見つかりました。セキュリティ研究者は、中国政府の支援を受けたハッカー集団「APT10」と関係が深いサイバー犯罪者による... 続きを読む

ハッカーがTikTokから790GB分の個人情報とソースコードを盗んだと発表、TikTokはデータ侵害を否定

2022/09/06 10 users TikTok use ハッカー 痕跡 スクリーンショット

ハッカーがTikTokから大規模なデータを盗み出したとして、そのスクリーンショットをネット上に公開しました。TikTokはデータ侵害が発生した痕跡はないとして情報漏えいを否定している一方、セキュリティ研究者は少なくともデータの一部は本物であるとしています。 TikTok denies security breach after hackers leak use... 続きを読む

北朝鮮のハッカーグループ・キムスキーのマルウェア「Gold Dragon」がターゲットのみを攻撃する巧妙な手口とは？

2022/08/29 12 users 手口 標的 悪意 マルウェア 北朝鮮

北朝鮮の国家支援型ハッカーグループであるキムスキーは、主に韓国系の組織を標的としてさまざまな悪意のある攻撃を行っています。そんなキムスキーが少なくとも5年前から使用している「Gold Dragon」と呼ばれるマルウェアについて、「どうやってセキュリティ研究者のシステムにダウンロードされることなく攻撃対象にの... 続きを読む

iOSのVPN機能は2年以上壊れた状態にあると研究者が指摘

2022/08/18 11 users iOS VPN VPN機能 指摘 https

VPN(Virtual Private Network)はネットワーク接続を暗号化することで通信内容を守る仕組みなのですが、セキュリティ研究者が、iOSのVPN機能は2年以上にわたり壊れた状態にあり、データを守っているVPNトンネルの外にデータが漏れていることを指摘しています。 VPNs on iOS are a scam https://www.michaelhorowitz.com/V... 続きを読む

あの「DOOM」をトラクターの車載システムに移植して「修理する権利」を訴えるハッカーが登場

2022/08/17 15 users DOOM トラクター ハッカー ラスベガス カンパニー

セキュリティ研究者のSick.Codes氏が、2022年8月15日から16日にかけてラスベガスで開催されたハッカー向けイベント「DEF CON 30」で、世界最大の農業機械メーカーであるディア・アンド・カンパニーのトラクターに搭載されるシステムをハッキングして名作FPSゲーム「DOOM」を移植したと報じられています。 Def Con hacker... 続きを読む